PcapXray - Uma Ferramenta Forensics de Rede Para visualizar uma Captura de Pacotes offline como um Diagrama de Rede
PcapXray é uma ferramenta Forensics de Rede Para visualizar uma Captura de Pacotes offline como um Diagrama de Rede, incluindo a identificação do dispositivo, destaque importante comunicação e extração de arquivos. Objetivo de
Especificação de Design PcapXray
:
Dado um arquivo de Pcap, trace um diagrama de rede que exiba hosts na rede, tráfego de rede, realce tráfego importante e tráfego de Tor, bem como tráfego potencial malicioso, incluindo dados envolvidos na comunicação.
Problema:
- A investigação de um arquivo Pcap demora muito tempo devido a falha inicial para iniciar a investigação
- Enfrentado por todo investigador forense e qualquer pessoa que esteja analisando a rede
- Localização: Aqui
Solução: agilize o processo de investigação
- Faça um diagrama de rede com os seguintes recursos a partir de um arquivo Pcap Destaques da ferramenta:
- Diagrama de rede - Diagrama de rede resumo da rede completa
- Em formação:
- Tráfego com detalhes do servidor
- Tor Traffic
- Possível tráfego malicioso
- Dados obtidos de pacotes no relatório - Dispositivo / Tráfego / Carga útil
- Detalhes do dispositivo
Imagem da ferramenta:
Componentes:
Bibliotecas Python usadas: - Todas essas bibliotecas são necessárias para a funcionalidade
Desafios:
Bugs conhecidos:
Futuro:
Componentes:
- Diagrama de rede
- Detalhes e Análise de Dispositivo / Tráfego
- Identificação do tráfego malicioso
- Tor Traffic
- GUI - um gui com opções para carregar o pcap e exibir o diagrama de rede
Bibliotecas Python usadas: - Todas essas bibliotecas são necessárias para a funcionalidade
- Tkinter e TTK - Instale a partir de pip ou apt-get - Verifique se o Tkinter e o graphviz estão instalados (a maioria do Linux contém por padrão)
- instale python-tk
- instalar a gráfica
- Tudo isso está incluído no arquivo requirements.txt
- Scapy - rdpcap para ler os pacotes do arquivo pcap
- Ipwhois - para obter informações de whois de ip
- Netaddr - para verificar o tipo de informação IP
- Pillow - biblioteca de processamento de imagem
- Biblioteca de busca de dados de consenso temporal
- pyGraphviz - gráfico da parcela
- Networkx - gráfico da parcela
- Matplotlib - gráfico da parcela
Desafios:
- Impossibilidade da GUI do TK:
- A decisão sobre a interface gráfica entre Django e TK, estabelecida em tk para uma interface local simples, mas a instabilidade do tk gui causou uma série de problemas
- Gráfico Ploting:
- Traçar um gráfico de rede apropriado que é legível a partir dos dados obtidos foi bastante esforço, usou bibliotecas diferentes para chegar a um.
- Desempenho e tempo:
- O desempenho e o tempo da aplicação total foram um grande desafio com a coleta de dados e geração de produção diferentes
Bugs conhecidos:
- Memória Hogging
- Às vezes, o acúmulo de memória ocorre quando a RAM mais baixa está presente no sistema, pois os dados armazenados na memória do arquivo pcap são enormes
- Deve ser corrigido movendo dados em um banco de dados do que a própria memória
- Condição da corrida
- Devido ao mainloop do TK gui, outros fios podem sofrer uma condição de corrida
- Deve ser corrigido, movendo-se para uma implementação de TK melhor estruturada ou GUI da Web
- Tk GUI Unstability:
- Mesmo motivo acima
- Correção atual em raras ocasiões: se algum dos problemas acima ocorrer, a barra de progresso continua em execução e nenhuma saída é gerada, será necessário reiniciar o aplicativo.
Futuro:
- Altere o banco de dados de JSON para sqlite ou banco de dados proeminente, devido ao acúmulo de memória
- Alterar fronteira para web com base em Django
- Tornar o aplicativo mais estável
